스마트폰과 보안위협에 대한 대응

은행, 증권, 보험, 카드 등 금융업무 서비스 사용 급증

보안 소프트웨어 단말기 탑재, 시스템 정기 점검 필요

최근 이동통신 사용자 환경이 무선 인터넷 중심의 3세대 환경으로 급속히 이동함에 따라, ‘손안의 PC’ 스마트폰을 둘러싼 사회ㆍ경제ㆍ문화적 관심이 고조되고 있다. 글로벌 전망에 따르면 전체 휴대전화 시장에서 스마트폰이 차지하는 비중은 현재 약 20% 수준으로 2013년에는 40%에 근접할 것으로 예측하고 있다.(국내시장 규모 : 2007년 약3만대 → 2010년 약400만대)
이렇게 스마트폰의 보급이 급속도로 확산됨에 따라 국내 금융시장 또한 발 빠르게 스마트폰을 활용한 서비스 발굴에 노력하여, 올해 초부터 자금이체·조회, 증권거래 및 신용카드 결제 등 스마트폰을 활용한 전자금융서비스를 제공하고 있다.

또한 보험업계도 전자청약 및 사고접수 등 현장 영업지원을 목적으로 스마트폰이 활용되고 있으며, 앞으로도 더욱 확대될 전망이다.

그러나 스마트폰의 편리함에 대한 동경과 더불어, 악성코드 등으로 인한 보안사고에 대한 우려의 목소리가 커지고 있다. 손안의 PC라고 불려지는 스마트폰의 경우 다양하고 방대한 개인정보를 저장하고 있으며, 언제 어디서든지 통신이 가능하다는 특징을 가지고 있다.

이러한 특징 때문에, 악성코드에 감염되었을 때 발생하는 보안상의 위협은 단편적인 개인정보의 유출뿐만 아니라, 개인의 일상생활정보 유출, 금융사고 등 그 여파가 기존의 보안사고보다 더욱 심각하다고 할 수 있다.

이처럼 스마트폰 사용자가 늘면서 그 활용범위도 은행, 증권, 보험, 카드 등 금융업무 서비스 전반에 사용이 급증하고 이와 관련된 보안위협 가능성이 커짐에 따라 스마트폰에 대한 보안위협을 생각해 보고 대응방안을 검토해 보고자 한다.
제작자가 악의적인 목적으로 사용자에게 피해를 주고자 만든 모든 프로그램, 매크로 및 스크립트 등 컴퓨터상에서 작동하는 실행 가능한 형태를 악성코드, 바이러스 및 스파이웨어(Spyware) 등이라고 일컬으며, 정보통신부는 2005년 8월에 악성 프로그램에 대한 구체적인 기준을 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제48조(정보통신망 침해행위 등 금지) 이하에서 정의하고 있다.

악성코드는 바이러스, 웜(Worm), 트로이 목마(Trojan horse) 등으로 분류할 수 있는데 과거의 단순하고 일방적인 자기과시형 공격에 비해 최근에는 혼합된 형태의 복합공격과 다중 계층의 연동공격이 증대하고 있다. 공격 경로는 외부 해커로 부터의 직접적인 공격, 내부 PC에 의한 아웃바운더(Outbound) 위협이 있으며 패킷, 메일 등 다양한 도구를 활용하는 형태로 진화되고 있는 실정이다.

바이러스나 웜 등은 특정 목적을 가지고 끊임없이 생성되며, 대부분 금전적 이득을 노린 목표 공격이므로 전 분야의 위협에 대응할 수 있는 전문서비스 체제가 필요하다고 할 것이다.

특히 여기서 주목해야 할 것은 보안위협이 과거의 바이러스 위주에서 스파이웨어로 바뀌고 자료파괴·변조에서 정보유출로, 불특정 다수 공격에서 특정목표 공격으로 전환되었다는 점이다.
우리가 알다시피 악성코드는 인터넷 개방성 및 표준화, 시스템의 복잡성 증가, 새로운 서비스 및 컨텐츠 발달, IT시스템에 대한 의존도 심화, 악성코드 및 해킹의 기술발달, 악성코드와 해킹툴의 인터넷을 통한 유포 및 다양하고 빠른 변종 출현 등으로 인해 보안위험이 대폭 증가하고 있고 현실적으로 방어하기가 어렵다는 특징이 있다.

2009년도의 주요 보안위협으로는 DDoS 공격, 웹 공격의 지능화, 스팸봇(SpamBot) 확산, 몸체없는 악성코드, 델파이감염 바이러스, 제로데이(0-day) 취약점, SNS 인프라를 이용한 피싱, 바이럿 바이러스 변종, 가짜 백신 배포, 온라인 게임 해킹 툴 등을 들 수 있다.

스마트폰은 작은 규모의 PC와 같아서 많은 데이터를 저장하고 이용할 수 있으면서 분실이나 공격의 위험이 매우 높아 분실 및 악성코드 감염은 2차적인 위협요인을 발생시킬 수 있는 잠재적인 가능성을 제공하고 있다고 볼 수 있다.

최근 스마트폰을 이용하여 단말기의 특정정보를 지정된 번호로 전송하거나, 특정번호로 SMS를 전송하며 부당한 과금이 발생하게 하거나 단말기 내의 정보를 삭제하거나 대체하는 등의 피해사례가 확인되고 있으며 스마트폰의 시장 확대와 함께 악성코드와 보안위협은 더욱 빠르게 증가하고 있는 실정이다.

스마트폰을 이용한 악성코드로는 Hobbs, CxOVER, Commwarrior, PBStealer, Allcano, Cardtrap, Flocker, Porn-Dialer 등이 있다.

금년 1월 금융감독원에서는 스마트폰 보급 확대와 다양한 잠재적 보안위협에 효율적으로 대처하기 위해 “스마트폰 전자금융서비스 안전대책”을 발표한 바 있으며, 주요 내용으로 전자금융거래부문에서는 다단계 가입자 확인을 통한 가입절차 강화, 사용자 인증강화, 보안등급별 자금이체 한도적용 등이고, 기술적 침해대응부문에서는 암호화 통신적용, 입력정보 보호대책, 악성코드 예방대책, 전자서명 의무화 등을 다루고 있고, 취약점 모니터링부문에서는 상시 모니터링체계 구축과 범금융권 공동대응을 통해 고객정보를 보호함으로써 국민들이 안전하게 스마트폰 기반 전자금융서비스를 이용할 수 있도록 대응하고 있다.

앞서 설명한 스마트폰의 급속한 보급과 이에 따른 보안위협에 효과적으로 대응하기 위해서는 먼저 보안제품을 이용하여 악성코드의 감염을 방지하고 데이터 유출 및 금전적 손실에 대한 가능성을 최대한 차단할 필요가 있다. 즉, 보안 클라이언트 소프트웨어 등의 단말기 탑재, 정기적인 시스템 점검 등 보안위협에 적극 대처하여야만 할 것이다.

하지만 보안을 위한 기술개발, 제도적 장치 등이 아무리 잘 마련되어 있어도 사용자들의 보안에 대한 인식변화가 무엇보다 필요하며 방송, 신문 등 각종 매체를 통해 지속적인 관심과 교육이 절대적으로 필요하다고 할 것이다.

현대를 살아가는 우리들에게 “보안”이란 말은 아무리 강조해도 지나치지 않다.



관리자 기자